Was tun im Ernstfall?

1. Nicht in Panik geraten

Bleiben Sie ruhig und handeln Sie strukturiert. Überstürzte Aktionen (z. B. wildes Löschen oder unkoordinierte Kommunikation) können die Lage verschlimmern.

---

2. Verdächtigen Vorfall sofort melden

• Informieren Sie umgehend die IT-Abteilung oder den zuständigen IT-Sicherheitsbeauftragten.
• Melden Sie:
  • Den Absender der verdächtigen Nachricht
  • Den Inhalt (z. B. Screenshots)
  • Ob Sie geklickt oder Daten eingegeben haben
• Niemals eigenmächtig Dateien löschen oder „aufräumen“, das kann die Analyse behindern.

---

3. Keine weiteren Schritte auf verdächtigen Seiten ausführen

• Wenn Sie auf einen Link geklickt haben: Seite sofort schließen.
• Wenn ein Formular ausgefüllt wurde: Datenverlust sofort melden.

---

4. Netzwerkverbindung trennen (bei Malware-Verdacht)

• Wenn Sie den Verdacht haben, dass eine Datei ausgeführt oder Malware installiert wurde:
  • Gerät sofort vom Netzwerk trennen (WLAN ausschalten, LAN-Kabel ziehen).
  • Gerät eingeschaltet lassen, aber nicht weiter benutzen – wichtig für die IT-Analyse.

---

5. Passwörter ändern

• Wenn Zugangsdaten kompromittiert sein könnten: Passwort sofort ändern – von einem anderen, sicheren Gerät aus.
• Ggf. weitere Konten prüfen, bei denen dasselbe Passwort verwendet wurde (Empfehlung: künftig individuelle Passwörter nutzen).

---

6. Kollegen warnen

• Wenn die Phishing-Mail an mehrere Personen im Unternehmen ging: Frühzeitige Warnung kann verhindern, dass andere auf die Falle hereinfallen.
• Dies sollte idealerweise über die IT oder zentrale Kommunikation erfolgen, um einheitlich zu informieren.

---

7. Dokumentation des Vorfalls

• Wer hat wann was entdeckt oder getan?
• Welche Systeme waren betroffen?
• Wer wurde informiert?

Diese Dokumentation hilft der IT bei der Ursachenanalyse und ist für spätere rechtliche oder organisatorische Schritte notwendig.

---

8. Lernfaktor nutzen

Nach der technischen Absicherung sollte der Vorfall intern aufgearbeitet werden:

• Was hat gut funktioniert?
• Wo gab es Schwachstellen?
• Was kann verbessert werden?

---

Hinweis:

Bei größeren Vorfällen mit Datenabfluss oder Datenschutzverletzung (z. B. Kundendaten) muss ggf. eine Meldung an die Datenschutzbehörde (gemäß DSGVO Art. 33) erfolgen – innerhalb von 72 Stunden.